Sistem za zaznavanje in preprečevanje vdorov (IDS/IPS)

Iz Wikipedije, proste enciklopedije
Jump to navigation Jump to search

Sistem za zaznavanje vdorov (angleško »Intrusion Detection System« - IDS sistem) je naprava oz. programska oprema, ki avtomatizira proces detekcije vdora.[1]

Sistem preprečitve vdora (angleško »Intrusion Prevention System« – IPS sistem) je programska oprema, ki ima zmožnosti detekcije in tudi možnosti poizkusa preprečitve incidentov. [2]

V dobi, v kateri živimo vsak sodoben informacijsko komunikacijski sistem zahteva določen nivo varnosti. Varnost namreč sama po sebi ob priključenosti naprav v omrežja ni zagotovljena. Obstajajo različni in številni varnostni sistemi (požarni zidovi, anti-virusni programi, sistemi avtentikacije, …), vendar varnostne zahteve (oz. potrebe) postajajo vedno večje, kar pomeni, da v določenih primerih uporaba klasičnih varnostnih sistemov ni dovolj. Mnoge varnostne vrzeli izpolnjujejo ravno sistemi za zaznavanje vdorov. To so programska ali strojna orodja za izvajanje kontrole aktivnosti na ravni omrežij in sistemov.

Sistem za zaznavanje vdorov[uredi | uredi kodo]

Način delovanja IDS sistem-a je podoben anti-virusnim programom. Prepozna napad na podlagi podpisa napada, na podlagi primerjanja določenih vzorcev dogajanja v omrežju z znanimi scenariji napadov. Zaznava tudi nepravilnosti v omrežju in to tako, da se išče nenavadne vzorce prometa v omrežju, ki predstavljajo aktivnost napada.

IDS sistem s tem principom delovanja je sposoben odkriti tudi neznane oblike napadov. Prav tako ima nalogo spremljanja sprememb datotečnega sistema, kjer išče poskuse zamenjave ali spremembe ključnih sistemskih datotek ali dnevnikov varnosti.



Glavni cilj je bil razviti tak IDS sistem, ki temelji na modelu odkrivanja nepravilnosti(odstopanja). Tak model mora biti natančen, katerega ni lahko ogoljufati z majhnimi spremembami v vzorcih, ima malo lažnih alarmov, je prilagodljiv in deluje v realnem času. Kako to deluje prikazuje slika spodaj. Sistem prejme omrežne pakete podatkov o vdorih iz interneta, katere nato s pomočjo programske opreme za zaznavanje vdorov zbere podatkovne nize. Na začetku je to izvleček lastnosti o podatkovnih nizih iz podatkovnih paketov, ki se potem posredujejo v predlagani IDS. Potem IDS izračuna razdaljo med pridobljenimi podatkovnimi nizi iz podatkovnih paketov in velikim naborom podatkov(Big-Dataset). Če je izračunana vrednost večja od določene se javi lažni alarm. [3]

Primerjava s požarnimi zidovi[uredi | uredi kodo]

Večina uporabnikov je prepričana, da sta požarni zid in sistem za zaznavanje vdorov enaka, saj oba pomagata ohranjati varnost računalniškega ali komunikacijskega sistema. Požarni zid je strojna ali programska oprema, ki izvaja nadzor nad dohodnim in odhodnim prometom. Preprečuje nepooblaščen dostop iz zunanjega sveta-interneta, hkrati pa pooblaščenim uporabnikom omogoča komunikacijo. Predstavlja osnovno zaščito med dvema omrežjema ali računalnikoma, ki nadzorujeta medsebojno izmenjavo prometa in določata, kateri promet dovoljujeta in katerega ne. Požarni zid stoji med lokalnim omrežjem in internetom ter filtrira promet, ki je lahko škodljiv. Sistemi za zaznavanje vdorov so namenjeni prepoznavanju napadov, ki so imeli dostop do omrežja. Lahko bi rekli, da je požarni zid varnostnik, sistem za zaznavanje vdorov pa varnostna kamera. Požarni zid povezavo blokira, medtem ko je IDS sistem ne more blokirati, razen v primeru ko povezavo zazna kot vdor v sistem. Ko ga enkrat zazna o tem nemudoma opozori administratorja računalnika. Deluje po principu hevristike – po vzorcih. [4]

Sistem za preprečevanje vdorov[uredi | uredi kodo]

Sistem za preprečevanje vdorov oz. IPS sistem je nadgradnja IDS sistema. IPS sistem deluje v smislu prevencije, saj grožnjo blokira še preden se uresniči. IPS sistemi prepoznavajo škodljive aktivnosti, zabeležijo informacije o teh aktivnostih, jih poskusijo preprečiti ali zaustaviti ter o njih poročajo. [5] Ukrepi, ki jih izvaja IPS sistem:

  • Sprožitev alarma za administratorja
  • Analiza paketov
  • Zapiranje prometa določenega vira
  • Ponastavitev povezave

Omejitve[uredi | uredi kodo]

Sistemi za odkrivanje vdorov niso popolni. Lahko pride do velikega števila »napačnih pozitivnih« rezultatov, kar je odvisno od zasnove samega sistema. Ti »lažni alarmi« lahko izvirajo iz slabe programske opreme, poškodovanega strežnika domen ali pa iz lokalnega omrežnega prometa. Kot posledica, se lahko pravi vdor oz. napad spregleda, če sistem za zaznavanje vdorov ni pravilno konfiguriran za zaščito omrežja. Druga ranljivost IDS sistemov, ki se zanašajo na podpisne datoteke oz. komponente, je posodabljanje knjižnice le-teh, da bi vključili najnovejše grožnje. Ko ga pustimo popolnoma odprtega in brez kakršnekoli zaščite, je lahko omrežje odprto za napad najbolj aktualnih groženj.[6]

Razvoj[uredi | uredi kodo]

Koncept sistema za zaznavanje vdorov sega v leto 1984, ko je Fred Cohen ugotovil, da je mogoče zaznati vdore v omrežja na podlagi informacij, ki so na voljo skrbnikom omrežja, vendar le, če je dovolj računalniških virov usmerjenih v to nalogo. Če se temeljito pregleda dnevnik prijav v omrežje (dostop uporabnikov) in dnevnik sistemskih dogodkov, je mogoče zaznati oz. odkriti tudi tiste najbolj prikrite nepooblaščene omrežne vdore.

Leta 1986 je Dorothy E. Denning s pomočjo Petra G. Neumanna, objavila nov IDS model, ki še danes služi kot podlaga za sisteme za zaznavanje vdorov. Model je bil v sredini osemdesetih uporabljen za mnoge statistične analize za odkrivanje omrežnih nepravilnosti. Rezultat izvajanja teh analiz je bil tudi strokovni sistem za zaznavanje vdorov oz. IDES (ang. »Intrusion Detection Expert System). V letu 1988 je izšel Multi sistem za zaznavanje in opozarjanje oz. MIDAS (ang. Multics intrusion detection and alerting system), s pomočjo programskega jezika Lisp za temeljne razvojne tehnologije. Delo z MIDAS je temeljilo na prvotnem modelu, ki sta ga objavila Denning in Neumann. Dve leti pozneje je bil razkrit induktivni stroj oz. TIM (ang. »Time-based Inductive Machine«), ki je lahko odkrival anomalije z uporabo induktivnega učenja, ki temelji na zaporednih vzorcih končnih uporabnikov. Leta 1998 je ameriški Nacionalni laboratorij Lawrence Berkeley napovedal izdajo Bro IDS-ja. Bro je uporabil posebni jezik, razvit za projekt, ki je uporabljal paketni prenos podatkov analize iz libcap podatkov. Leto kasneje je izšel tudi naslednji projekt imenovan NFR (ang. »Network Fight Recorder«), ki je prav tako uporabil libcap podatke. Kasneje je bil preimenovan v »Snort« in je postal eden najbolj uporabljenih IDS sistemov na svetu. [7]

Poleg Snort-a obstajajo še drugi IDS sistemi, kot so Suricata, OpenWIPS-ng, Bro IDS in Security Onion.[8]

Med najboljše IPS sisteme spadajo Cisco FirePOWER, IBM Security Network Intrusion Prevention System, McAfee Network Security Platform (NSP) in DefensePro.

Glej tudi[uredi | uredi kodo]

Viri[uredi | uredi kodo]

  1. "Sistemi za zaznavo vdorov" (PDF). Pridobljeno dne 4.1.2017. 
  2. "Sistemi za zaznavo vdorov" (PDF). Pridobljeno dne 4.1.2017. 
  3. "Intrusion Detection System (IDS): Anomaly Detection Using Outlier Detection Approach". Pridobljeno dne 4.1.2017. 
  4. "Požarni zid". Pridobljeno dne 4.1.2017. 
  5. "Skrb za varnost poslovanja". Pridobljeno dne 4.1.2017. 
  6. "Intrusion Detection System (IDS)". Pridobljeno dne 9.1.2017. 
  7. "Intrusion Detection System (IDS)". Pridobljeno dne 9.1.2017. 
  8. "TOP FREE NETWORK-BASED INTRUSION DETECTION SYSTEMS (IDS) FOR THE ENTERPRISE". Pridobljeno dne 9.1.2017.